Vous êtes sur la page 1sur 44

RÉSEAUX INFORMATIQUES LOCAUX

CHAPITRE 5.
LES RÉSEAUX
LOCAUX SANS
FILS (WIFI)
Dr. Hafs T.
Introduction
Les réseaux locaux sans fil (WLAN – Wireless Local
Area Network) sont décrits dans la norme IEEE
802.11 (ISO/CEI 8802-11).
Les RLAN (Radioélectrique LAN) permettent :
aux entreprises de mettre en place ou
d'étendre des réseaux informatiques sans
infrastructure filaire,
 de faciliter le "nomadisme", utilisation de
portable, hot spot (point d'accès public), etc.
2
La normalisation
 Elle est assurée essentiellement par le groupe
802.11 de l'I.E.E.E.
 La norme initiale 802.11 a connu de
nombreuses révisions notées 802.11a, 802.11b,
802.11g pour les principales.
 Ces révisions visent essentiellement :
 une amélioration du débit
et/ou
 une amélioration de la sécurité.
3
La normalisation
 802.11a
Cette norme :
fixe un haut débit maximum à 54 Mbits/s
théorique
spécifie 8 canaux radio dans la bande de
fréquence des 5 Ghz
Débit théorique (intérieur) Portée

Extrait du site "Comment ça marche"


54 Mbits/s 10 m
48 Mbits/s 17 m
36 Mbits/s 25 m
24 Mbits/s 30 m
12 Mbits/s 50 m
6 Mbits/s 70 m
4
La normalisation
 802.11b
Une des normes les plus répandues avec la
802.11g. Elle :
 fixe un débit moyen maximum à 11 Mbits/s
théorique une portée pouvant aller à 300
mètres
 spécifie 3 canaux radio (1, 6 et 11) sur la
bande de fréquence des 2,4 Ghz.
On trouve une norme propriétaire 802.11b+ qui améliore le débit

5
La normalisation
802.11b

Extrait du site "Comment ça marche"


Débit théorique Portée Portée
(en intérieur) (en extérieur)
11 Mbits/s 50 m 200 m
5.5 Mbits/s 75 m 300 m
2 Mbits/s 100 m 400 m
1 Mbits/s 150 m 500 m

les normes 802.11a et 802.11b sont


incompatibles. Néanmoins certains matériels
offrent les 2 normes.

6
La normalisation
 802.11g
Norme compatible avec la 802.11b qui offre
un haut débit à 54 Mbits/s théoriques (30
Mbits/s réels).
 spécifie 3 canaux radio (1, 6 et 11) sur la
bande de fréquence des 2,4 Ghz (voir plus loin).

7
La normalisation
802.11g
Débit théorique Portée Portée
(en intérieur) (en extérieur)
54 Mbits/s 27 m 75 m

Extrait du site "Comment ça marche"


48 Mbits/s 29 m 100 m
36 Mbits/s 30 m 120 m
24 Mbits/s 42 m 140 m
18 Mbits/s 55 m 180 m
12 Mbits/s 64 m 250 m
9 Mbits/s 75 m 350 m
6 Mbits/s 90 m 400 m

8
La normalisation
 Les autres normes :
802.11d : Internationalisation de la norme
802.11 afin de permettre au matériel
d'échanger des informations sur les
puissances et les bandes de fréquences
définies par chaque pays.
802.11c : modification de la norme 802.11d
pour créer un pont de 802.11 vers 802.11d.

9
La normalisation
 Les autres normes :
802.11e : Pour améliorer la qualité du
service afin d’obtenir une meilleure
utilisation de la bande passante pour
transmettre de la voix et de la vidéo.
802.11f : Elle définit l'interopérabilité des
points d'accès (itinérance ou roaming).
802.11h : Rapproche la norme 802.11 de la
norme européenne HiperLAN2 afin d'être
en conformité avec la réglementation
européenne.
10
La normalisation
 Les autres normes :
802.11i : Elle améliore la sécurité
(authentification, cryptage et distribution
des clés) en s'appuyant sur la norme
Advanced Encryption Standard (AES).
Cette norme s'applique aux transmissions
802.11a, 802.11b et 802.11g.
802.11i met en place le WPA2 (en 2004)

11
La normalisation
 La gestion des ondes radios - Législation
Les ondes radios sont légalement réparties
selon leur utilisation :
Appellation Fréquences Remarque

FM Autour de 100 Mhz Radio

VHF 2 bandes, autour de 60 Mhz et autour de 200 Mhz Télévision

UHF Entre 400 et 800 Mhz Télévision

ISM (Industrial 3 bandes, autour de 900 Mhz, autour de 2,4 Ghz Téléphone sans fil, appareils
Scientific and et autour de 5,8 Ghz médicaux, Wi-Fi, four à
Médical) micro-ondes, etc.

UNII (Unlicensed 2 bandes, la première autour de 5,2 Ghz, la Réseaux sans fil
National Information seconde autour de 5,8 Ghz
Infrascruture)

12
La normalisation
Le canal 11 est le canal utilisé par Canal
Fréquence La bande
en Ghz commence à :
défaut pour le WiFi, en effet : 2,4 Ghz
1 2.412
 Les canaux de 1 à 8 sont partagés 2 2.417
jusqu'à :
2,4835 Ghz.
avec les radioamateurs (ils sont 3 2.422
prioritaires et utilisent des 4 2.427
Le tableau
donne la
puissances plus élevées) 5 2.432 fréquence
centrale. La
 Les canaux 1, 5, 9 et 13 sont 6 2.437
largeur du
utilisés par transmetteurs audio- 7 2.442 canal et de 22
8 2.447 Mhz (11 Mhz
vidéo domestique. de part et
9 2.452
 La fréquence 2.450 Ghz est celle 10 2.457
d'autre)
On remarque
utilisée par les micro-ondes. 11 2.462 que les canaux
se recouvrent
12 2.467 largement.
13 2.472

13
Les composants
Les 2 composants de base d'un réseau Wi-Fi sont
 Le point d'accès
 L'interface client.

 Le point d'accès
Élément central d'un réseau Wi-Fi de type
"infrastructure". Il peut être assimiler à un
concentrateur filaire avec des fonctions
supplémentaires.
14
Les composants
Le point d'accès
Différentes fonctions :
• Gestion de l'émission radio
• Prise en charge de la norme 802.11 avec
un aspect sécuritaire (authentification et
cryptage) qui n'existe pas avec un Switch.
• Logiciel de configuration sous la forme
d'un serveur Web ou agent SNMP (à
travers le réseau et/ou prises USB ou série)

15
Les composants
Le point d'accès
Différentes fonctions :
• La gestion du réseau
– Connexion au réseau filaire. Fonction
"pont" Ethernet/802.11
– Gestion des VLAN
– Serveur DHCP

Le point d'accès est un équipement de Niveau 2

16
Les composants
 Exemples :

Aironet 1100 Aironet 1200 AP-5131 de


de Cisco de Cisco Symbol
17
Les composants

ProSafe de NetGear
18
Les composants
ProSafe de NetGear (face arrière)

Antenne Reset de la Connexion au réseau Antenne


Primaire configuration filaire Ethernet Secondaire

Connecteur Série pour Alimentation


une administration à électrique
partir d'une console (si pas de POE)
Yonel Grusson 19
Les composants

MODEM HUAWEI
B593s-22
800/1800/2600MHz

20
Les composants
 L'interface client
Elle peut être :
 Intégrée sur la carte mère du poste
(portable et de plus en plus sur les cartes
mères des machines de bureau)
 Enfichable dans le poste client comme une
interface réseau filaire.
 Un adaptateur pour les périphériques ne
pouvant pas recevoir de carte (imprimante)
21
Les composants
Exemples

Société D-Link Société D-Link


DWL-G520+ DWL-G650/FR
Carte PCI Sans Fil Carte PC Cardbus
802.11g+ 11/22/54Mbps Super G 108Mbps 802.11g

22
Les composants
Société NetGear
WG311T
Carte PC Cardbus
108Mbps Wireless PCI Adaptator
802.11g

23
Les composants
 Exemples

Société D-Link
DP-G321
Serveur d'impression
3 ports sans fil

24
Les topologies
 Les réseaux Wi-Fi Ad-Hoc
Dans ce type d'infrastructure, les machines se
connectent les unes aux autres dans une
topologie point à point (peer to peer). Il s'agit
d'un fonctionnement semblable au workgroup.
Chaque machine joue à la fois les rôles de client
et de point d'accès.
Chaque station forme un ensemble de services de
base indépendants (en anglais independant
basic service set, abrégé en IBSS).
25
Les topologies

26
Les topologies
Les réseaux Ad-Hoc s'appliquent au petites
structures (réseau domestique par exemple).
L'interconnexion des machines dépend :
 De leur éloignement les une par rapport
aux autres.
 De la puissance de l'émission du signal
radio.
 Des obstacles (cloisons, etc.)

27
Les topologies
 Les réseaux Wi-Fi d'infrastructure
Dans ce type de réseau chaque station Wi-Fi se
connecte à un point d'accès qui lui même est
généralement connecté à un réseau filaire.
L'ensemble du point d'accès et des stations
situées dans sa zone de couverture radio forme
un ensemble de services de base (en anglais
basic service set, noté BSS) appelé cellule.
Le BSS est identifié par un BSSID.
28
Les topologies
Réseau filaire Ethernet

Point d'accès

BSS

29
Les topologies
Plusieurs points d'accès donc plusieurs BSS
peuvent être reliés soit par un câble soit par
une connexion Wi-Fi.
Plusieurs BSS ainsi reliés forment un un
ensemble de services étendu (Extended Service
Set ou ESS).
Un ESS est repéré par un ESSID souvent abrégé
en SSID (Service Set Identifier), un identifiant
de 32 caractères au format ASCII servant de
nom pour le réseau.
30
Les topologies
Réseau filaire Ethernet

Point d'accès Point d'accès

BSS BSS

= ESS
31
Les topologies
L'itinérance ou le roaming correspond au fait
qu'un utilisateur nomade passe de façon
transparente d'un BSS à l'autre.
Les point d'accès communique entre eux grâce
au système d'interconnexion.

32
La sécurité
Les réseaux WiFi sont comme pour Ethernet des
réseaux utilisant le mode de propagation par
diffusion. Mais la sécurité première du réseau
filaire à savoir le raccordement physique de la
machine sur le lien, n'existe pas.
Donc les ondes émises par un point d'accès WiFi
peuvent être captées par n'importe quelle
machine située dans son rayon d'émission. Par
contre, cette caractéristique est celle
recherchée par les hotspots (points d'accès
publics)
33
La sécurité
Ainsi dans le cadre d'une organisation, la
sécurité est donc primordiale concerne :
 L'accès physique au réseau
• Les antennes
• La puissance du signal
L'accès "logique" au réseau (couche 2)
• Filtrage des adresses MAC
• La confidentialité des échanges avec les
technologies WEP, WPA et WPA2
34
La sécurité
 Filtrage des adresses MAC
Un premier niveau de sécurité se situe à ce
niveau. Les points d'accès peuvent être
configurés avec la liste des adresses MAC des
interfaces Wifi pouvant se connecter. Il s'agit
ici d'éviter les intrusions (attention, il est possible de "couvrir"
l'adresse MAC physique par une adresse MAC logique).

 Ce filtrage est inenvisageable dans le cas d'un


hotspot.

35
La sécurité
L'authentification et la confidentialité (cryptage)
des échanges sur un réseau WiFi a beaucoup
évolué :
 La technique préconisée à l'origine par la
norme 802.11 est le WEP (Wired Equivalent
Privacy). Plusieurs défauts et faiblesses ont été
décelés dans cette technique.
 En 2003, apparition du WPA (WiFi
Protected Access), amélioré…
 En 2004, avec le WPA2 (normalisé par
802.11i et certifié par la WiFi Alliance)
36
La sécurité
 Le WEP (Wired Equivalent Privacy)
Bien qu'obsolète cette technique offre tout de
même un niveau de sécurité qui peut être
suffisant dans certaines organisations.
Le WEP procède en 3 étapes :
1. Génération d'une clé pseudo aléatoire à
partir d’une clé partagée.
2. Génération d'un contrôle d'intégrité
3. Génération du message crypté qui est
transmis
37
La sécurité
1. Génération d'un clé pseudo aléatoire
Les deux partenaires (point d'accès et
station) possède une clé privée de 40 ou
104 bits. Cette clé sera associée à un
vecteur d'initialisation (Initialisation Vector -
IV) généré aléatoirement.
Algorithme
Clé privée RC4
40 ou 104 bits
Clé privée IV Clé de cryptage
64 ou 128 bits Clé de cryptage
Vecteur d'initialisation pseudo aléatoire
24 bits
38
La sécurité
2. Génération d'un contrôle d'intégrité
Le contrôle d'intégrité (équivalent à un
checksum) sera recalculé par le
destinataire pour savoir si le message n'a
pas subi de modification (intentionnelle ou
non)

Message à envoyer CRC32 Message à envoyer CRC


Contrôle de Redondance Cyclique sur 32 bits

39
La sécurité
3. Génération du message crypté qui est
transmis
Le message transmis sera l'association du
résultat d'un simple XOR entre les
résultats des étapes 1 et 2 accompagné du
vecteur d'initialisation (en clair)
Clé de cryptage

XOR Message crypté IV

Message à envoyer CRC


Vecteur d'initialisation
40
La sécurité
 On trouve des versions du WEP avec des clés à
256 bits (232 + 24).
 Les failles :
Il n'y pas de génération et de gestion de clés.
La même clé est ici partagée par toutes les
stations.
 La transmission du vecteur d'initialisation
en clair permet après la capture de plusieurs
trames de retrouver la clé privée
(avec 224 possibilités le même vecteur d'initialisation revient assez rapidement – Par
exemple avec 1000 trames par seconde le vecteur réapparaît environ au bout de 5 heures)

41
La sécurité
 WPA et WPA2 (WiFi Protected Access)
WPA doit être considéré comme une étape
intermédiaire (amélioration de WEP) avant
la mise en place de WPA2.
Mais l'aspect innovant de WPA qui
n'intègre pas la sécurité 802.11i est
l'utilisation du protocole TKIP (Temporal Key
Integrity Protocol) qui assure une modification
dynamique de la clé de cryptage durant la
session (tous les 10ko de données échangés).
WPA2 préconise d'utiliser CCMP (Counter-
Mode/CBC-Mac protocol ) à la place de PKIP. 42
La sécurité
 WPA et WPA2 (WiFi Protected Access)
 TKIP continue d'utiliser l'algorithme RC4
alors que CCMP utilise l'algorithme AES
(Extensible Authenfication Protocol)
 TKIP utilise une clé de 128 bits et un
vecteur d'initialisation de 48 bits (au lieu des 24
bits dans WEP)
WPA et WPA2 utilisent un contrôle
d'intégrité nommé MIC (Message intégrity
Code) au lieu du CRC utilisé par le WEP
(MIC est prénommé Michael)
43
La sécurité
 WPA2 (WiFi Protected Access)
WPA2 a deux modes de fonctionnement :
Mode authentifié (WPA2 Enterprise).
Conformément à la norme 802.1x ce mode
utilise un serveur d'authentification (en
général RADIUS) chargé de distribuer une
clé à chaque utilisateur.
Mode PSK pre-shared key (WPA2 Personnal )

Sans serveur, les utilisateurs partagent la


même clé (passphrase) comme avec le WEP. 44